Sicherheitsforscher von ACTIR identifizierten Greasy Opal als das Unternehmen, das Cyber-Angreifern dabei hilft, in IT-Systeme einzudringen.
Greasy Opal zeichnet sich durch die Entwicklung eines ausgeklügelten Geschäftsmodells aus. Mittels Bündelung gleich mehrerer Dienste ist dessen Portfolio äußerst vielschichtig. So bietet das Unternehmen mit Sitz in der Tschechischen Republik sowohl vermeintlich legale Lösungen als auch offensichtlich illegale Dienste zum Verkauf an.
Bisher gelang es Greasy Opal unter dem Radar zu agieren. Das Unternehmen ist mit einem geschätzten Umsatz im Jahr 2023 von 1,7 Millionen US-Dollar angeblich bereits seit 2009 aktiv. Obwohl die Produkte von Greasy Opal nicht direkt an Angriffen beteiligt sind, richten sie sich doch an ein breites Spektrum von Kunden.
Geschäftsmodell von Greasy Opal: Anbieten von Tools zur Erleichterung böswilliger Aktivitäten
Die Produkte und Dienstleistungen von Greasy Opal basieren dabei auf hoch entwickelter Bild- und Zeichenerkennung sowie KI-Technologien. Beispielsweise bietet das Unternehmen kostengünstige und effektive Tools zum Lösen von CAPTCHAs, die von Bedrohungsakteuren verwendet werden, wenn sie versuchen, die Sicherheitssysteme verschiedener Organisationen zu überwinden.
In einem neuen Bericht teilte Arkose Cyber Threat Intelligence Research (ACTIR) mit, dass es das Unternehmen Greasy Opal dabei beobachtet habe, wie es Cyberangriffe ermöglichte. Die vom Unternehmen bereits gestellten Tools fanden offenbar auch für Angriffe auf Kunden von Arkose Labs Verwendung. Die Sicherheitsforscher von ACTIR führen dazu aus:
„Diese Gruppe von Bedrohungsakteuren spiegelt einen wachsenden Trend von Unternehmen wider, die in einer Grauzone operieren, während ihre Produkte und Dienstleistungen für illegale Aktivitäten im weiteren Verlauf verwendet werden.“
Angreifer-Toolkit schon für 70 USD im Angebot
Greasy Opal bietet gemäß ACTIR ein Angreifer-Toolkit für 70 US-Dollar mit den wichtigsten Funktionen an, zuzüglich einer monatlichen Abonnementgebühr von 10 US-Dollar. Für zusätzliche 100 US-Dollar können Kunden auf die Betaversion upgraden. Zudem bieten sie ein Paket an, das alle Tools bündelt und 190 $ plus 10 $ Abonnement kostet. Darüber hinaus wird auch ein monatliches Paket für 10 US-Dollar angeboten.
Arkose Labs schätzt, dass Hunderte einzelner Angreifer die Greasy Opal-Software verwenden, um Bots zu erstellen und volumetrische Angriffe durchzuführen. Die Sicherheitsforscher von ACTIR beobachteten ferner, dass die in Vietnam ansässige Group Storm-1152 Greasy Opal im Zusammenhang mit Angriffen verwendete, bei denen 750 Millionen gefälschte Microsoft-Konten erstellt wurden.
Aufgrund von Informationen des ACTIR-Teams übernahm die Microsoft Digital Crimes Unit im Dezember 2023 erstmals die Kontrolle über die Storm-1152-Domänen. ACTIR entdeckte, dass sich Storm-1152 im Januar 2024 neu konstituierte. Daraufhin kam es zu einer erneuten Zusammenarbeit, um die Bedrohungsakteure Anfang August 2024 weiterhin zu stören.
ACTIR verweist zudem auf einen sonstigen prominenten Nutzer, dem Anbieter der Browser-Automatisierungssoftware Bablesoft. Seine Browser Automation Suite (BAS), ein Tool mit Fingerabdruckdatenbanken und einer Drag-and-Drop-Oberfläche zum Erstellen und Starten von Angriffen, verwendet angeblich das Toolkit von Greasy Opal.
Bereitstellung von Toolkits zu Cybercrime-Zwecken senkt Eintrittsbarriere für breite Masse
ACTIR stellt fest, dass die bereitgestellten Angebote von Greasy Opal „die globale Bedrohung durch ausgeklügelte Cyberkriminalität deutlich erhöht“. Kevin Gosschalk, Gründer und CEO von Arkose Labs, führte gegenüber DarkReading aus, „dass Greasy Opal durch die Vereinfachung der Ausführung komplexer Angriffe konkret dazu beiträgt, die Eintrittsbarriere für potenzielle Cyberkriminelle zu senken“.
Er ergänzt, dass Unternehmen wie Greasy Opal sich oft als legitime Unternehmen präsentieren, komplett mit ausgefeilten Websites und professionellem Marketing. Ihm gemäß haben sie „ein Geschäft und zahlen Steuern. Cyberangreifer können ihre Produkte und Dienstleistungen jedoch für fragwürdige Zwecke missbrauchen.“
Besonders gefährlich macht diese Art von Unternehmen laut Gosschalk, dass ihre Tools es jedem erleichtern, zum Angreifer zu werden:
„Früher musste der Angreifer über ziemlich solide Entwicklerkenntnisse verfügen, um Bots für Angriffe auf die größten Unternehmen der Welt in großem Maßstab einzusetzen, aber das ist nicht mehr der Fall. Heute kann jeder ein ausgeklügeltes Bot-Tool zusammen mit Schulung und Kundensupport kaufen und eine Karriere als Cyberkrimineller starten.“
Gegenüber BleepingComputer bezeichnet Gosschalk Greasy Opal als einen „sehr intelligenten Softwareentwickler mit niedriger Ethik“, dem es nur ums Geldverdienen gehe.
Arkose empfiehlt letztlich Unternehmen, zu prüfen, ob ihr Name auf einer Liste im Anhang ihres Berichts steht. In diesem Fall besteht die Gefahr, dass die Tools von Greasy Opal Angriffe auf Ihr Unternehmen ermöglichen.
